Académique Documents
Professionnel Documents
Culture Documents
2
Comprendre les origines de la réglementation
https://www.dailymotion.com/video/x1b81vd
3 https://www.ina.fr/video/CAB7600764601
Comprendre les origines de la réglementation
4
Comprendre les origines de la réglementation
5
Le RGPD : étape charnière de l’évolution du cadre réglementaire
Effet extraterritorial :
Respect des droits
Toutes les entités des personnes
publiques comme privées y
sont soumises, dès lors
qu’elles sont implantées en
Europe OU qu’elles traitent
des données de personnes
situées sur le territoire
Renforcement Responsabilisation
européen (ces 2 conditions des sanctions des acteurs
sont alternatives et non
cumulatives).
7
Pourquoi le RGPD est un tournant crucial ?
8
Les principales évolutions introduites par le RGPD
9
Le régime de protection
applicable aux données à
caractère personnel
10
Les notions clés
11
Donnée personnelle
12
Donnée personnelle
Exemples
13
Classification des données personnelles
Degré de sensibilité
Données
Données perçues Données
courantes comme sensibles
sensibles
Niveau de protection
14
Données sensibles
L’origine
ethnique ou
raciale
15
Donnée de santé
16
Données perçues comme sensibles
17
Traitement de données
18
Responsable de traitement
19
Sous-traitant
Exemples :
20
Anonymisation et pseudonymisation
ANONYMISATION PSEUDONYMISATION
21
Les principes
fondamentaux
22
1) Principe de licéité du traitement
D’une part, le traitement doit avoir un objet licite et porter sur des données dont
la collecte n’est pas interdite par principe.
D’autre part, le traitement doit reposer sur une base juridique identifiée.
Le consentement de la
personne concernée au
traitement pour une ou
plusieurs finalités
spécifiques ;
L’exécution d’une
mission d’intérêt public Le respect d’une
ou relevant de obligation légale à
l’exercice de l’autorité laquelle le RT est
publique dont est soumis ;
investi le RT ;
La sauvegarde des
intérêts vitaux de la
personne concernée ou
d’une autre personne
23 physique ;
L’interdiction de traiter les données sensibles
En principe, il est interdit de collecter et de traiter des données sensibles (dont
les données de santé).
24
QUIZZ
25
QUIZZ
26
QUIZZ
27
QUIZZ
28
QUIZZ
29
QUIZZ
30
2) Principe de détermination des finalités du traitement
34
QUIZZ
35
5) Principe de limitation de la durée de conservation
36
6) Principe de sécurité
Codes
Clauses
BCR CCT de
ad Hoc
conduite
38
7) Principe d’interdiction des transferts hors UE
39
Les droits des
personnes
40
Les droits des personnes
41
1) Le droit d’être préalablement informé
Durée de conservation
Droits de la personne Existence éventuelle Existence éventuelle
des données ou
concernée + modalités d'un transfert de d'une prise de décision
critères utilisés pour la
d’exercice données hors UE automatisée
définir
Catégorie de données
Origine des données Uniquement en cas de collecte indirecte
personnelles
42
1) Le droit d’être préalablement informé
43
2) Le droit d’accéder à ses données
des demandes.
Principe de gratuité, sauf Recensement
demandes abusives des données
détenues
45
3) Le droit à l’effacement
46
4) Le droit à la portabilité
Limites / dérogations :
Nécessité liée à la conclusion Dans le cas du
ou à l’exécution d’un contrat consentement ou du
entre la personne et le RT contrat, le RT met en
place des MTO
Autorisation par le droit de l'Union ou comprenant a minima
le droit de l’Etat membre auquel le le droit de la personne
responsable du traitement est soumis concernée d’obtenir
et qui prévoit également des mesures une intervention
appropriées humaine, d’exprimer
son point de vue et de
Consentement explicite de la
contester la décision.
personne concernée
48
7) Droits exerçables en fonction de la base légale choisie
Source : CNIL.fr
49
Les outils de
gouvernance des
données
50
Le rôle du Data Protection Officer (DPO)
Conseille le RT ou
le ST sur leurs
obligations
Externe ou interne
Contrôle le
respect des
Point de contact Indépendant
règles de
de la CNIL
protection des
données
Compétent
51
Le registre des traitements
52
A quoi ressemble une fiche de traitement ?
53
Les analyses d’impact sur la protection des données
54 https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-aipd
La gestion des violations de données personnelles (1/4)
55
Le contenu du dossier de notification à la CNIL (2/4)
https://notifications.cnil.fr/notifications/index
Communication du nom et
des coordonnées du DPO ou
Description de la nature de d'un autre point de contact
la violation de données à auprès duquel des
caractère personnel informations
supplémentaires peuvent
être obtenues;
56
L’information des personnes en cas de violation (3/4)
57
Arbre décisionnel en cas de violation (4/4)
58
Le régime spécifique
applicable aux données de
santé à caractère
personnel
59
Pourquoi les données de santé font l’objet d’une protection
renforcée ?
61
Le renforcement des droits des patients par la loi du 4 mars 2002
La loi du 4 mars 2002 relative aux droits des malades et à la qualité du système
de santé (loi Kouchner) a posé les bases d’une protection consolidée de la vie
privée du patient.
Droit d’accès direct à son dossier médical (article L. 1111-7 du CSP) sous un
délai max. de 8 jours après sa demande (mais pas moins de 48h). Délai porté
à 2 mois lorsque les informations datent de + de 5 ans.
62
L’échange et le partage des
données de santé
63
Secret professionnel et données de santé
64
Secret professionnel et données de santé : les règles d’échange et de
partage
66
La politique générale de sécurité des systèmes d’information de
santé (PGSSI-S)
« Le développement rapide de l’usage des
technologies de l’information dans le
domaine de la santé constitue un facteur
La PGSSI-S est un corpus documentaire
important d’amélioration de la qualité des
soins. Il s’accompagne toutefois d’un élaboré par l’État en concertation avec les
accroissement significatif des menaces et acteurs de la santé pour fixer le cadre de
des risques d’atteinte aux informations la sécurisation des systèmes d’information
conservées sous forme électronique et plus de santé. Ce corpus documentaire, et en
généralement aux processus de santé
particulier ses Principes fondateurs, sont
s’appuyant sur les Systèmes d’Information
de Santé (SIS). » applicables à tout système d’information,
Source : propos liminaires aux Principes fondateurs utilisé en santé (sanitaire et médico-
de la PGSSI-S, juillet 2013. social), manipulant des données de
santé, que celles-ci soient à caractère
personnel, directement ou indirectement
nominatives, ou qu’elles soient anonymes
(Ex: Logiciel de professionnel de santé,
dispositifs médicaux connectés, bases de
données de santé publique…)
67
La politique générale de sécurité des systèmes d’information de
santé (PGSSI-S)
68
La politique générale de sécurité des systèmes d’information de
santé (PGSSI-S)
Pour l’heure, les référentiels cités ne sont pas juridiquement opposables, mais ils ont
vocation à le devenir rapidement. Ils constituent donc des normes non contraignantes
auxquelles les acteurs du système de santé ont tout intérêt à se référer.
69
L’utilisation d’une messagerie sécurisée de santé
70
L’obligation de recourir à un hébergeur certifié (HDS)
71
Le développement de la e-santé
72
La télémédecine
74
La télémédecine
Pratique encadrée par le code de la santé publique (L.6316-1 du CSP + R.
6316-1 du CSP), auquel s’ajoutent les règles générales du RGPD et de la loi
Informatique et libertés.
Inscription de certaines infos dans le dossier du patient tenu par chaque professionnel
de santé intervenant à l’acte (notamment les incidents techniques)
75
Les objets connectés en santé
Objet électronique du quotidien qui, via l’ajout de fonctions
supplémentaires et en les reliant à un réseau (en permanence ou non),
permet de récupérer et de traiter des informations ou d’automatiser des
actions de la vie quotidienne.
Médicalisation croissante des appareils Problème de sécurisation de ces objets (ex : risques de
connectés (téléphones, tablettes…), qui piratage en raison de défaillance dans la mise en œuvre
peuvent permettre en continu le recueil de protocoles de sécurité…).
d’informations sur l’état de santé de la https://www.industrie-techno.com/article/des-chercheurs-parviennent-a-
pirater-un-robot-chirurgien.38074
personne. Données qui intéressent les
professionnels de santé mais aussi les
assurances, les banques… Défaut d’information des utilisateurs (ex. : CGU longues,
complexes et/ou incomplètes …) qui peut entraîner une
Caractère particulièrement intrusif de ces auto-exposition excessive.
objets mais absence de réglementation
propre => Ils sont soumis au respect des
règles générales issues du RGPD et de la
loi informatique et libertés, ainsi qu’à la Augmentation des potentialités d’exploitation des
réglementation propre aux dispositifs données issues de ces dispositifs : masse de données
médicaux s’ils rentrent dans cette brutes en apparence anodines (ex : gyroscope) mais qui
catégorie. peuvent permettre de déduire des informations ayant
une signification différente (ex : habitudes de vie de la
personne …) grâce à des algorithmes sophistiqués.
76
La recherche en santé
77
Le régime spécifique applicable aux recherches en santé
Pour les recherches dans le domaine de la santé, la loi Informatique et libertés a maintenu
l’existence d’un régime spécifique reposant sur la mise en œuvre de formalités administratives
préalables SAUF pour les recherches internes.
Recherche soumise à
Recherche soumise à
des formalités OU
autorisation CNIL
simplifiées
Autorisation
78
CNIL
Les recherches internes
3 conditions pour qu’une recherche soit considérée comme interne :
Elle est menée à partir de données recueillies dans le cadre du suivi (thérapeutique ou médical)
individuel des patients
Par les personnels assurant le suivi
Ex. : médecin cardiologue exerçant à l’hôpital
Pour leur usage exclusif
ou une personne agissant sous sa responsabilité
souhaite, à son seul bénéfice, faire une étude
(ex : indicateurs, taux de rémission, survie etc.)
sur les patients qu’il a suivis dans son service
Nécessité d’informer les personnes concernées (ex. : livret d’accueil, panneau d’affichage...)
79
Que dois-je faire ?
RIPH RNIPH
Recherches non
Etudes
interventionnelles
RIPH Études non Etudes et nécessitant Etudes
+ essais
interventionnelle interventionnelles évaluations dans l’accès au PMSI nécessitant
cliniques de
ou recherche de performance le domaine de la et/ou des RPU l’accès aux
médicaments
nécessitant un des dispositifs santé par les données du
par grappe +
examen des médicaux de n’impliquant pas établissements PMSI par les
recherches
caractéristiques diagnostic in la personne de santé et les industriels de
interventionnelles
génétiques vitro humaine fédérations santé
à contraintes
hospitalières
minimes
Pour être conformes à une MR, les études doivent présenter un caractère d’intérêt public + avoir fait l’objet d’une analyse d’impact.
80
Synthèse des démarches (1/2)
Source : CNIL
81
Synthèse des démarches (2/2)
82 Source : CNIL
Liens vers les méthodologies de référence
MR 001 : https://www.cnil.fr/fr/declaration/mr-001-recherches-dans-le-
domaine-de-la-sante-avec-recueil-du-consentement
MR 002 : https://www.cnil.fr/fr/declaration/mr-002-etudes-non-
interventionnelles-de-performances-concernant-les-dispositifs-medicaux
MR 003 : https://www.cnil.fr/fr/declaration/mr-003-recherches-dans-le-
domaine-de-la-sante-sans-recueil-du-consentement
MR 004 : https://www.cnil.fr/fr/declaration/mr-004-recherches-
nimpliquant-pas-la-personne-humaine-etudes-et-evaluations-dans-le
MR 005 : https://www.cnil.fr/fr/declaration/mr-005-etudes-necessitant-
lacces-aux-donnees-du-pmsi-etou-des-rpu-par-les-etablissements
MR 006 : https://www.cnil.fr/fr/declaration/mr-006-etudes-necessitant-
lacces-aux-donnees-du-pmsi-par-les-industriels-de-sante
83
Sources bibliographiques
et liens utiles
84
https://www.cnil.fr/sites/default/files/atoms/files/guide-cnom-cnil.pdf
https://www.cabinetderoulez.com/fr/blog/objets-connecte-sante
https://www.has-sante.fr/upload/docs/application/pdf/2016-
11/has_ref_apps_oc.pdf
https://esante.gouv.fr/sites/default/files/media_entity/documents/cadrejur_
HIT2018_VF.pdf
https://esante.gouv.fr/sites/default/files/media_entity/documents/180528_P
GSSI-S.pdf
https://www.cnil.fr/sites/default/files/typo/document/CNIL_CAHIERS_IP2_W
EB.pdf
https://www.dataprotection.ro/servlet/ViewDocument?id=1291
85